Uma violação de dados pessoais ou data breach é “uma violação de segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”, conforme previsto na alínea 12) do artigo 4º do Regime Geral da Proteção de Dados (“RGPD”).
Caso a sua empresa seja alvo de um data breach, destacamos os passos fundamentais a seguir:
1. Avaliar a Extensão da Violação de Dados
O primeiro passo após a descoberta de uma violação de dados é avaliar a sua extensão. Isso envolve determinar que tipo de dados foram comprometidos, quantos registos foram afetados e como a violação ocorreu. Uma avaliação detalhada permitirá compreender a gravidade da situação e tomar medidas adequadas.
2. Agir Rapidamente
Após compreender a extensão da violação de dados, é crucial agir rapidamente para mitigar os danos. Isso pode incluir tomar medidas imediatas para interromper a violação, como bloquear o acesso não autorizado e corrigir quaisquer vulnerabilidades no sistema.
3. Comunicar Internamente e Externamente
A transparência é fundamental quando se trata de lidar com uma violação de dados.
Internamente, é importante informar os colaboradores sobre o que aconteceu e quais as medidas que estão a ser tomadas para resolver a situação.
Externamente, as entidades devem comunicar abertamente com os clientes e outras partes interessadas, fornecendo informações claras sobre a violação e as medidas que estão a ser tomadas para proteger os seus dados.
Esta obrigação recai sobre o responsável pelo tratamento que fica obrigado a dar conhecimento aos titulares dos dados da ocorrência de um data breach, sempre que reunidos os requisitos legais previstos no artigo 34.º do RGPD.
4. Cumprir com as Obrigações Legais
Dependendo da gravidade da violação de dados, as empresas podem ter obrigações legais específicas a cumprir. Isso pode incluir notificar as autoridades competentes e os reguladores de proteção de dados, bem como informar os clientes afetados sobre a violação.
O responsável pelo tratamento de dados deve notificar a Comissão Nacional de Proteção de Dados (“CNPD”) de um data breach, em conformidade com o exigido no n.º 1 do artigo 33.º do RGPD.
Além disso, a menos que a violação de dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades dos titulares dos dados, a notificação deve ser feita no prazo de 72 horas após ter tido conhecimento da mesma.
É também uma obrigação do responsável pelo tratamento ter em prática uma política interna que lhe permita detetar e gerir incidentes de segurança com impacto na proteção de dados pessoais e, quando o tratamento de dados for realizado por subcontratantes, ter mecanismos de controlo eficazes quanto à atuação dos subcontratantes, assegurando que aqueles não prejudicam o cumprimento das obrigações que recaem sobre o responsável neste domínio.
Uma vez resolvida a violação de dados, é importante realizar uma análise pós-incidente para entender as causas e prevenir futuras ocorrências.
Esta análise deverá incluir uma revisão das políticas de segurança de dados, a formação adicional aos colaboradores e a implementação de medidas adicionais de proteção de dados.
O da conta com uma ampla experiência e dispõe de uma equipa especializada que poderá assessorar a sua empresa no cumprimento das normas legais em matéria de proteção de dados pessoais.